Summer.fi kehilangan $6M dalam serangan pinjaman kilat pada Vault DeFi

ETH1,48%
CRV-1,78%
MORPHO3,86%

Summer.fi, platform agregasi hasil DeFi, kehilangan sekitar 6 juta dolar AS pada 06 Juli dalam dugaan serangan flash loan yang menargetkan kontrak pintar Lazy Summer, menurut platform keamanan Web3 Blockaid. Eksploitasi terjadi setelah dompet yang didanai melalui FixedFloat di jaringan Base memulai transaksi mencurigakan di Ethereum, memanipulasi mekanisme akuntansi bagi hasil vault dengan mengeksploitasi kerentanan harga aset. Serangan flash loan memungkinkan penyerang meminjam modal dalam jumlah besar dan membayarnya kembali dalam satu transaksi blockchain, memungkinkan distorsi sementara kondisi likuiditas atau harga tanpa memerlukan eksposur keuangan jangka panjang di luar biaya transaksi.

Blockaid dan PeckShield Identifikasi Manipulasi Akuntansi Vault

Sistem deteksi eksploitasi Blockaid mengidentifikasi serangan yang sedang berlangsung, melaporkan bahwa analisis awal menunjukkan penyerang mengeksploitasi kerentanan dalam mekanisme akuntansi bagi hasil vault dengan memanipulasi harga aset. Dana yang dicuri kemudian dikonversi menjadi DAI dan ditransfer ke alamat yang dikuasai penyerang.

Perusahaan keamanan blockchain PeckShield mengidentifikasi vault utama yang terdampak sebagai LazyVault_LowerRisk_USDC (LVUSDC), yang dikelola oleh Block Analitica. Selama insiden, APY yang ditampilkan vault sempat melonjak hingga sekitar 2,08 juta, mencerminkan keadaan abnormal protokol. PeckShield juga mencatat bahwa salah satu pemegang terbesar vault, sebuah dompet yang diduga terkait dengan Torben Jorgensen (UDHC), telah menyetor sekitar 8,6 juta USDC ke vault yang terdampak.

CertiK Lacak Transaksi Flash Loan Senilai 65,4 Juta Dolar AS

CertiK menunjuk pada transaksi mencurigakan yang konsisten dengan serangan flash loan. Menurut analisis perusahaan, penyerang memperoleh flash loan senilai sekitar 65,4 juta dolar AS dan menggunakan dana pinjaman untuk memanipulasi likuiditas di seluruh pool DAI/USDC Curve dan vault Morpho V2. Eksploitasi diduga menyalahgunakan mekanisme dealokasi vault, memungkinkan penyerang memanipulasi akuntansi bagi hasil sebelum mengekstrak keuntungan 6 juta dolar AS. Flash loan dilunasi dalam transaksi blockchain yang sama, artinya penyerang tidak perlu mengomiten modal sendiri selain biaya transaksi.

Summer.fi menyediakan layanan agregasi hasil dan manajemen vault otomatis, menawarkan infrastruktur yang berfokus institusi untuk pengguna DeFi. Platform ini memungkinkan pengguna meminjam stablecoin, mengelola posisi leverage, dan memperoleh hasil melalui integrasi dengan berbagai protokol DeFi. Proyek ini belum memberikan komentar publik mengenai insiden tersebut pada saat publikasi.

FAQ

Apa yang terjadi dengan Summer.fi pada 06 Juli?

Summer.fi kehilangan sekitar 6 juta dolar AS dalam dugaan serangan flash loan yang mengeksploitasi kerentanan di mekanisme akuntansi bagi hasil vault kontrak pintar Lazy Summer, menurut Blockaid.

Bagaimana penyerang mengeksekusi eksploitasi Summer.fi?

Menurut analisis CertiK, penyerang memperoleh flash loan senilai sekitar 65,4 juta dolar AS, menggunakan dana pinjaman untuk memanipulasi likuiditas di seluruh pool DAI/USDC Curve dan vault Morpho V2, menyalahgunakan mekanisme dealokasi vault untuk memanipulasi akuntansi bagi hasil, mengekstrak keuntungan 6 juta dolar AS, dan melunasi flash loan dalam transaksi blockchain yang sama.

Vault mana yang paling terdampak dalam serangan Summer.fi?

PeckShield mengidentifikasi LazyVault_LowerRisk_USDC (LVUSDC), yang dikelola oleh Block Analitica, sebagai vault utama yang terdampak, dengan APY-nya sempat melonjak hingga sekitar 2,08 juta selama insiden.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar